Apa yang terjadi dalam pelanggaran data iRhythm?

Peretas mengakses informasi kesehatan pasien dengan mengkompromikan aplikasi yang dihosting oleh penyedia pihak ketiga, bukan sistem internal iRhythm sendiri.

Bagaimana penyerang melewati pertahanan keamanan iRhythm sendiri?

Mereka membobol lingkungan cloud vendor pihak ketiga, sehingga mereka tidak pernah harus menembus perimeter jaringan iRhythm.

Mengapa VPN tidak dapat mencegah pelanggaran seperti ini?

VPN hanya melindungi data saat transit di jaringan organisasi sendiri; ia tidak mengamankan data yang disimpan atau diproses di infrastruktur cloud vendor eksternal.

Titik buta apa yang diciptakan oleh aplikasi yang dihosting pihak ketiga bagi organisasi layanan kesehatan?

Akuntabilitas keamanan menjadi terfragmentasi karena vendor mengendalikan akses, penambalan, dan pemantauan, sementara organisasi layanan kesehatan memiliki visibilitas kontraktual yang terbatas terhadap praktik keamanan sehari-hari.

Apakah insiden iRhythm merupakan bagian dari pola yang lebih besar?

Ya, artikel mencatat tren yang meningkat dari serangan infrastruktur vendor layanan kesehatan, termasuk pelanggaran baru-baru ini di Novo Nordisk dan titik masuk vendor serupa dalam serangan ransomware Cropwise.

Pelanggaran iRhythm: Aplikasi Cloud Pihak Ketiga Membocorkan Data Pasien

Sebuah pelanggaran data layanan kesehatan di iRhythm, perusahaan pemantauan jantung, telah membocorkan informasi kesehatan pasien setelah penyerang memperoleh akses ke aplikasi yang dihosting oleh pihak ketiga di luar infrastruktur langsung perusahaan. Insiden ini terjadi tak lama setelah pelanggaran yang dilaporkan melibatkan Novo Nordisk dan memperkuat pola yang telah berulang kali ditandai oleh para profesional keamanan: data layanan kesehatan hanya seaman mata rantai vendor terlemahnya. Bagi pasien dan penyedia layanan, kasus iRhythm adalah pengingat tajam bahwa pelanggaran data layanan kesehatan melalui eksposur cloud pihak ketiga kini menjadi salah satu permukaan serangan paling berdampak di dunia kedokteran.

Apa yang Terjadi dalam Pelanggaran iRhythm

iRhythm mengungkapkan bahwa peretas mengakses aplikasi yang dihosting oleh penyedia pihak ketiga, bukan sistem internal iRhythm sendiri, dan mampu mengekstrak informasi kesehatan pasien melalui akses tersebut. Perusahaan yang memproduksi perangkat pemantauan jantung yang dapat dikenakan seperti Zio patch ini menangani data yang sangat sensitif termasuk rekaman fisiologis dan catatan kesehatan identitas pribadi yang terkait dengan kondisi jantung.

Meskipun rincian spesifik tentang jumlah data yang terdampak dan metode persis yang digunakan belum sepenuhnya dipublikasikan, mekanisme intinya signifikan: penyerang tidak perlu menembus perimeter iRhythm sendiri. Mereka masuk melalui vendor. Perbedaan ini sangat penting bagi cara perusahaan dan pasien memikirkan risiko.

Mengapa Hosting Cloud Pihak Ketiga Menciptakan Titik Buta yang Tidak Bisa Ditutup oleh VPN

Banyak organisasi, termasuk penyedia layanan kesehatan, menggunakan VPN untuk mengenkripsi lalu lintas dan membatasi akses ke sistem internal. VPN adalah alat yang sah dan berguna untuk melindungi data saat transit di jaringan yang dikendalikan organisasi. Namun, ketika data pasien berada dalam aplikasi yang dihosting oleh vendor eksternal di infrastruktur cloud terpisah, VPN yang melindungi jaringan iRhythm sendiri tidak berbuat apa-apa untuk mengamankan lingkungan tersebut.

Aplikasi yang dihosting pihak ketiga beroperasi di bawah postur keamanan vendor, kendali akses mereka, jadwal penambalan mereka, dan kemampuan deteksi insiden mereka. Organisasi layanan kesehatan seringkali memiliki visibilitas kontraktual yang terbatas tentang bagaimana vendor tersebut mengelola keamanan sehari-hari. Ini bukan masalah sempit: hal ini mencerminkan apa yang terjadi dalam serangan ransomware terhadap Cropwise, di mana platform vendor yang ditargetkan menjadi titik masuk bagi penyerang yang mencari data berharga yang disimpan di luar perimeter utama organisasi yang telah diperkuat.

Titik buta ini bersifat struktural. Ketika data pindah ke lingkungan pihak ketiga, akuntabilitas keamanan menjadi terfragmentasi, dan pelanggaran di vendor menjadi pelanggaran bagi setiap organisasi yang datanya berada di sana.

Pola Serangan Infrastruktur Vendor Layanan Kesehatan yang Meningkat

Pelanggaran iRhythm tidak terjadi secara terisolasi. Organisasi layanan kesehatan telah berulang kali diserang melalui ketergantungan vendor dalam beberapa tahun terakhir. Insiden Change Healthcare membocorkan catatan sekitar 100 juta orang setelah penyerang mengkompromikan penyedia infrastruktur pembayaran dan resep yang kritis. Platform telehealth, perusahaan penagihan, vendor EHR, dan penyimpanan data perangkat semuanya telah menjadi target utama karena mereka mengumpulkan catatan dari puluhan atau ratusan klien layanan kesehatan secara bersamaan.

Bagi penyerang, perhitungannya sederhana. Membobol satu platform cloud pihak ketiga yang melayani dua puluh organisasi layanan kesehatan menghasilkan dua puluh kali lipat data dengan upaya yang hampir sama. Data layanan kesehatan memiliki harga tinggi di pasar kriminal karena berisi riwayat medis, rincian asuransi, tanggal lahir, dan Nomor Jaminan Sosial yang digabungkan bersama, menjadikannya jauh lebih berguna untuk kecurangan dan pencurian identitas dibandingkan kredensial keuangan saja.

Waktu pengungkapan iRhythm yang sangat dekat dengan insiden Novo Nordisk menunjukkan kemungkinan adanya kampanye terkoordinasi yang menargetkan sektor layanan kesehatan atau, lebih masuk akal, bahwa penyerang secara sistematis menyelidiki ekosistem vendor yang digunakan bersama oleh perusahaan layanan kesehatan.

Kendali Privasi Apa yang Harus Diminta Pasien dan Konsumen Layanan Kesehatan Sekarang

Pasien memiliki kontrol langsung yang terbatas atas bagaimana perusahaan layanan kesehatan mengelola hubungan vendor mereka, tetapi mereka tidak sepenuhnya tanpa jalan atau pengaruh.

Tanyakan tentang lokasi data. Saat mendaftar dalam program pemantauan jarak jauh, layanan telehealth, atau platform kesehatan digital apa pun, pasien dapat bertanya langsung: di mana data saya disimpan, dan siapa lagi yang memiliki akses ke sana? Penyedia harus dapat menjawab ini dengan jelas. Respons yang tidak jelas adalah sinyal yang patut dicatat.

Tinjau pengungkapan otorisasi HIPAA dengan cermat. Banyak pasien menandatangani otorisasi luas tanpa membaca pihak ketiga mana yang dapat menerima data mereka. Dokumen-dokumen ini merinci hubungan vendor dan izin berbagi data. Membacanya membutuhkan waktu tetapi menciptakan kesadaran akan permukaan eksposur.

Pantau pemberitahuan pelanggaran. Di bawah HIPAA, entitas yang tercakup diwajibkan untuk memberi tahu individu yang terdampak tentang pelanggaran yang memengaruhi informasi kesehatan yang dilindungi mereka. Pasien yang menerima pemberitahuan ini harus menanggapinya dengan serius, memeriksa data spesifik apa yang terlibat, dan mempertimbangkan pembekuan kredit atau peringatan penipuan jika Nomor Jaminan Sosial atau data keuangan merupakan bagian dari catatan yang dibocorkan.

Bagi organisasi layanan kesehatan dan tim pengadaan, tuntutan yang dapat ditindaklanjuti adalah audit keamanan vendor yang benar-benar ketat. Program manajemen risiko pihak ketiga yang mencakup persyaratan keamanan kontraktual, pengujian penetrasi rutin pada aplikasi yang dihosting vendor, dan protokol respons insiden yang terdokumentasi harus menjadi ekspektasi dasar, bukan tambahan opsional.

Apa Artinya Ini Bagi Anda

Pelanggaran iRhythm menegaskan bahwa privasi pasien dalam kesehatan digital bergantung pada seluruh rantai vendor, bukan hanya organisasi yang namanya tercantum di perangkat atau aplikasi. VPN, kata sandi yang kuat, atau otentikasi dua faktor di portal pasien Anda tidak akan melindungi data setelah disalin ke aplikasi cloud pihak ketiga yang tidak diamankan langsung oleh perusahaan layanan kesehatan itu sendiri.

Bagi konsumen layanan kesehatan sehari-hari, langkah paling praktis saat ini adalah mengaudit jejak kesehatan digital Anda sendiri. Daftarkan aplikasi, layanan pemantauan jarak jauh, dan portal pasien yang Anda gunakan, dan tinjau kebijakan privasi mereka untuk referensi ke pemroses data pihak ketiga. Jika sebuah layanan tidak dapat menjelaskan dengan jelas siapa yang menyimpan data Anda dan bagaimana ia dilindungi, itu adalah informasi yang perlu diketahui sebelum pemberitahuan pelanggaran tiba di kotak masuk Anda.

Organisasi layanan kesehatan yang serius menutup celah ini perlu bergerak melampaui pertahanan perimeter dan memperlakukan keamanan vendor sebagai perpanjangan dari keamanan mereka sendiri. Kasus iRhythm memperjelas bahwa pertanyaannya bukan lagi apakah data layanan kesehatan di lingkungan cloud pihak ketiga akan ditargetkan. Ini adalah seberapa cepat organisasi dan regulator akan menutup celah akuntabilitas yang membuat serangan ini begitu andal berhasil.